http://webdirector.livedoor.biz/archives/51754975.html

ポイントとなるのは「透明」と「iframe」
まず、iframeタグををposition:absolute（絶対位置指定）で画面全体におき、その中に押させたいボタンのあるHTMLを読み込んでおく、
そしてそのiframe自体をz-indexで通常のHTMLより前に出し、CSSを使って透明化してしまうのだ。

その攻撃手法はフレーム化されたコンテンツやFlash/Silverlight/Java等を使用したコンテンツなどで
マウスポインタの下に透明なボタンのようなユーザには見えないものを配置し、
ユーザにクリックさせるというというものだそうだ。

透明度50%以上の要素上からはイベント遅れないようにしちまえ。